14 апреля 2026 года хакерская группировка ShinyHunters выложила в открытый доступ архив, содержащий 78,6 миллиона внутренних записей Rockstar Games. Как следует из расследования и заявлений сторон, утечка стала результатом не прямой атаки на инфраструктуру разработчика, а компрометации стороннего SaaS-сервиса Anodot, который компания использовала для мониторинга облачных расходов. Через него злоумышленники получили доступ к корпоративному хранилищу данных Snowflake.
Инцидент развивался по классическому для ShinyHunters сценарию атаки на цепочку поставок. Группировка, известная по взломам Ticketmaster и AT&T, сфокусировалась не на поиске уязвимостей в основных продуктах жертвы, а на сторонних интеграциях, обладающих привилегированным доступом. В данном случае целью стал сервис Anodot, чьи системы были скомпрометированы для кражи аутентификационных токенов. Эти токены позволили злоумышленникам выдать себя за легитимный внутренний сервис Rockstar и получить практически неограниченный доступ к данным в Snowflake, минуя стандартные средства защиты. Примечательно, что сама платформа Snowflake не была взломана - использовались легитимные, но украденные учётные данные.
Утечка носит финансово-аналитический характер и, согласно данным из архива, не затронула персональные данные игроков, платёжную информацию или исходный код. Основной массив составляет детальная аналитика по играм GTA Online и Red Dead Online. В частности, раскрыты ключевые метрики: еженедельная выручка от продажи внутриигровой валюты Shark Card составляет около $7,3 млн, а от подписки GTA+ - $2,3 млн. Платформа PlayStation 5 приносит наибольший доход - $4,49 млн в неделю при 3,47 млн активных пользователей. Общее число еженедельных активных игроков в GTA Online в среднем достигает 9,9 млн человек. Эти данные, являющиеся коммерческой тайной, теперь доступны конкурентам и могут быть использованы для анализа бизнес-модели компании.
Компания Rockstar Games официально подтвердила инцидент в заявлении для Kotaku и IGN, отметив, что была получена "ограниченная информация, не имеющая материального значения", и что на игроков это не повлияло. Однако сам факт утечки и предшествующий ему шантаж опровергают тезис о незначительности. Ещё 11 апреля ShinyHunters опубликовали на своей площадке в даркнете ультиматум с требованием выкупа, угрожая в противном случае "несколькими раздражающими (цифровыми) проблемами". После отказа Rockstar от переговоров, что соответствует рекомендациям правоохранительных органов по всему миру не платить выкуп, данные были обнародованы.
Этот случай высвечивает системную уязвимость современных корпоративных экосистем: даже организации с усиленной внутренней безопасностью остаются открытыми для атак через доверенные сторонние сервисы, которые имеют широкие права доступа к ключевым системам. Как отметили в ShinyHunters в комментарии BBC, компрометация произошла "благодаря Anodot.com". Сама компания Anodot ещё 4 апреля фиксировала проблемы с подключением своих сборщиков данных, что указывает на то, что атака развивалась задолго до её обнаружения конечным заказчиком.
Инцидент с Rockstar служит очередным предупреждением для команд по всему миру. Недостаточно защищать только периметр. Требуется жёсткий аудит всех интеграций с SaaS-платформами на принципах минимальных привилегий, регулярная ротация аутентификационных токенов и внедрение мониторинга аномальной активности для раннего обнаружения перемещений злоумышленников через легитимные инструменты. Растущая популярность подобных векторов атаки смещает фокус киберпреступников с прямого взлома на охоту за цифровыми ключами в бесчисленных сторонних сервисах.
